none
Нужен готовый отчет по Event ID RRS feed

  • Вопрос

  • Доброго дня.

    Ищу МР или отчет по EVENT ID ( удачный логин пользователей)  в виде:

    Дата/время   учетка        IP/компьютер

    Спасибо.


    Александр Гавриленков

    15 марта 2016 г. 14:49

Ответы

  • Для сбора и анализа журналов безопасности следует использовать отдельную роль SCOM: Audit Collection Services (ACS). Там всё есть: и база, заточенная под хранение этих данных, и отчеты специализированные.

    Без вариантов.

    За попытку лить логины/логауты в базы OperationsManager и/или OperationsManagerDW полагается расстрел с увольнением.

    15 марта 2016 г. 19:49
  • В стандартных отчетах ACS есть отчет: Usage_-_User_Logon (User Logon). 
    Колонки данного отчета: Date/Time | Computer | IP Address | Auth Package | Logon Process | Logon Type
    EVENT ID не отображает, но фильтрует по событиям 528, 540, 4624

    Есть ещё похожий отчет: Usage_-_Privileged_logon (Privileged Logon), фильтрует по событиям 576, 4672

    Есть ещё подходящий отчет SCOM ACS User Logon Report, фильтрует по событиям 4778 и 4624. Скопировать XML и сохранить как файл .rdl, очистить ReportServerUrl в конце, открыть в MS Report Builder, настроить подключение к базе данных.



    16 марта 2016 г. 9:00

Все ответы

  • Для сбора и анализа журналов безопасности следует использовать отдельную роль SCOM: Audit Collection Services (ACS). Там всё есть: и база, заточенная под хранение этих данных, и отчеты специализированные.

    Без вариантов.

    За попытку лить логины/логауты в базы OperationsManager и/или OperationsManagerDW полагается расстрел с увольнением.

    15 марта 2016 г. 19:49
  • Доброго дня.

    В том то и дело, что установлен ACS и так же поставил дополнительно Custom ACS Reports, но собраны отчеты в основном про заблокированные учетки, а вот хотелось бы видеть отчет про вход пользователя..

    Спасибо.


    Александр Гавриленков

    16 марта 2016 г. 7:34
  • В стандартных отчетах ACS есть отчет: Usage_-_User_Logon (User Logon). 
    Колонки данного отчета: Date/Time | Computer | IP Address | Auth Package | Logon Process | Logon Type
    EVENT ID не отображает, но фильтрует по событиям 528, 540, 4624

    Есть ещё похожий отчет: Usage_-_Privileged_logon (Privileged Logon), фильтрует по событиям 576, 4672

    Есть ещё подходящий отчет SCOM ACS User Logon Report, фильтрует по событиям 4778 и 4624. Скопировать XML и сохранить как файл .rdl, очистить ReportServerUrl в конце, открыть в MS Report Builder, настроить подключение к базе данных.



    16 марта 2016 г. 9:00
  • Спасибо.

    Александр Гавриленков

    16 марта 2016 г. 10:11